L'auto-évaluation PCI DSS (SAQ — Self-Assessment Questionnaire) est le mécanisme par lequel la plupart des marchands démontrent leur conformité PCI DSS à leur acquéreur. Mais le PCI SSC définit neuf types de SAQ différents, et choisir le mauvais peut transformer un exercice simple en un projet de conformité complexe. Ce guide vous aide à identifier le bon SAQ pour votre situation et à comprendre comment réduire la charge de conformité grâce à la tokenisation.
Les différents types de SAQ et leur usage
Le PCI SSC a défini plusieurs types de SAQ pour refléter la diversité des modèles d'acceptation des paiements. Chaque type correspond à un profil précis de marchand et couvre un sous-ensemble des 300+ exigences PCI DSS. Utiliser le bon SAQ est essentiel : un SAQ trop restrictif peut créer des obligations artificielles, tandis qu'un SAQ trop permissif peut masquer des risques réels.
- SAQ A (22 exigences) : marchands e-commerce utilisant uniquement des formulaires de paiement hébergés par un tiers certifié
- SAQ A-EP (191 exigences) : marchands e-commerce dont le site web héberge partiellement le processus de paiement
- SAQ B (41 exigences) : marchands utilisant des terminaux autonomes non connectés à Internet
- SAQ B-IP (83 exigences) : terminaux IP autonomes connectés à Internet mais isolés du réseau
- SAQ C-VT (65 exigences) : centres d'appels utilisant des terminaux virtuels web hébergés par un tiers
- SAQ C (140 exigences) : systèmes de paiement connectés à Internet mais sans stockage de données de carte
- SAQ P2PE (35 exigences) : marchands utilisant des solutions P2PE certifiées
- SAQ D Marchands (329 exigences) : tous les autres marchands non couverts par les SAQ précédents
Comment choisir le bon SAQ pour votre situation
Le choix du SAQ dépend de votre méthode d'acceptation des paiements et de la présence ou non de données de carte dans votre environnement informatique. La question clé est : qui héberge le formulaire de saisie des données de carte, et est-ce que vos serveurs voient jamais les données de carte en clair ?
Si vous acceptez des paiements uniquement via un formulaire hébergé par un prestataire certifié PCI DSS (iframe ou redirection), et que vos serveurs ne voient jamais les données de carte, vous êtes éligible au SAQ A. C'est le cas le plus favorable, qui représente la charge de conformité minimale pour un marchand e-commerce.
Si votre site web utilise JavaScript pour soumettre les données de carte directement au PSP depuis le navigateur du client (sans passer par vos serveurs), mais que le formulaire est sur votre domaine, vous devrez probablement compléter le SAQ A-EP. C'est une situation courante avec des intégrations de type Stripe.js ou Braintree.js où le formulaire est sur votre page mais les données sont envoyées directement au PSP.
Le SAQ D : quand tout le reste échoue
Le SAQ D est le questionnaire par défaut pour tous les marchands qui ne peuvent pas se qualifier pour un SAQ plus spécifique. Avec 329 exigences à démontrer, il représente un programme de conformité à part entière. Les marchands qui stockent des données de carte dans leurs propres systèmes, qui traitent des paiements via des canaux multiples non standardisés, ou qui ont des flux de données de carte complexes se retrouvent généralement dans cette catégorie.
Pour les marchands actuellement en SAQ D, la tokenisation est souvent la voie la plus rapide pour changer de catégorie. En éliminant le stockage des données de carte de l'environnement du marchand et en externalisant la collecte vers un formulaire hébergé PCI Proxy, il est généralement possible de passer du SAQ D au SAQ A ou A-EP en quelques mois.
Comment la tokenisation simplifie l'auto-évaluation
La tokenisation réduit la charge de conformité de deux façons complémentaires. Premièrement, elle réduit le périmètre PCI DSS en éliminant les données de carte des systèmes qui n'en ont pas besoin, ce qui permet souvent de passer à un SAQ moins exigeant. Deuxièmement, pour les exigences qui s'appliquent toujours, la tokenisation simplifie les réponses car de nombreux contrôles concernent directement la gestion des données de carte.
Avec PCI Proxy EU, le responsable de la sécurité peut s'appuyer sur l'Attestation of Compliance (AOC) du prestataire pour répondre à de nombreuses questions du SAQ relatives à la sécurité du stockage et de la transmission des données de carte. Les questions sur le chiffrement en transit, le chiffrement au repos, la gestion des clés et les contrôles d'accès aux données de carte sont automatiquement couvertes par la certification Level 1 de PCI Proxy EU.
Processus de soumission du SAQ à votre acquéreur
Une fois le SAQ complété et signé, il doit être soumis annuellement à votre acquéreur (banque acquéreuse ou PSP). Chaque acquéreur a ses propres procédures de soumission et ses propres délais. Certains acquéreurs disposent de portails en ligne dédiés, d'autres acceptent la soumission par email ou courrier. Le non-respect des délais peut entraîner des frais de non-conformité.
Si des scans de vulnérabilité trimestriels sont requis pour votre SAQ, vous devez également soumettre les preuves de réussite de ces scans. Les scans doivent être réalisés par un ASV (Approved Scanning Vendor) agréé par le PCI SSC. PCI Proxy EU peut vous recommander des partenaires ASV certifiés pour ces scans trimestriels.
Simplifiez votre auto-évaluation PCI DSS et passez au SAQ le plus adapté à votre situation : Découvrir PCI Proxy EU.